Il Data Protection Officer e il medico di medicina generale

di Massimo Calisi

04 LUG - Gentile Direttore,
per il trattamento di dati in “larga scala” anche il medico di medicina generale ha l’obbligo secondo le norme a designare il Data Protection Officer (DPO)/Responsabile della Protezione dei Dati (RPD).
 
Il DPO/RPD è persona fisica o giuridica, è nominato dal Titolare medico e ha il compito di collaborare con lui nella protezione dei dati.Il ruolo principale del DPO è quello di tutelare i dati personali degli interessati (es.: pazienti, dipendenti, ecc.) e non gli interessi del Titolare medico e pertanto il DPO deve adempiere alle proprie funzioni in piena autonomia ed indipendenza.
 
Gli adempimenti che il Titolare medico è tenuto per le norme in Privacy si possono così riassumere:
- predisporre un’adeguata informativa scritta ed esposta nello studio medico;
 
- accogliere il consenso scritto dell’interessato paziente (consenso scritto per trattamenti connessi all’utilizzo di App mediche, ovvero di gestionali della cartella medica oltre che per altri motivi);  
- obbligo di incarico scritto per il personale di segreteria per il trattamento dei dati comuni degli interessati e ilpersonale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti:anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili (omceo Firenze);
 
- obbligo di incarico scritto per l’infermiere e/o per altro sanitario operante nello studio medico (fisioterapista dietista ecc.) per il trattamento dei dati per la propria attività infermieristica e/o per altra professione sanitaria con cartella infermieristica per la scrittura delle attività sanitarie eseguite agli interessati;
 
- obbligo di incarico scritto al DPO/RPD il quale affianca il Titolare per esempio nella redazione dell’informativa, nella gestione del Registro dei Trattamenti, nel condurre o meno una Valutazione d’Impatto, nell’elaborazione delle procedure di emergenza e nel monitoraggio costante e continuativo delle prassi all’interno dello studio, per  elaborare procedure per fronteggiare le ipotesi di violazione della privacy Il DPO/RPD funge anche da punto di contatto con l’Autorità Garante per la Privacy ed è per questo motivo che il suo nominativo va comunicato al Garante.
 
Il DPO non è l’ennesimo atto burocraticopoiché il medico di medicina generale è Titolare di convenzione con il SSN ed è Titolare di dati in uno scenario nuovo dove la tutela della Privacy del cittadino si sovrappone e talora coincide con la tutela della salute della persona. Nello stesso tempo il medico Titolare non ha le abilità né è formato né deputato a svolgere tutti i compiti dovuti per la Privacy.
 
Il DPO/RPD  però non è personalmente responsabile in caso di inosservanza poiché spetta al Titolare, e non al DPO, mettere in atto misure tecniche e organizzative adeguate per garantire, e di dimostrare che il trattamento è effettuato nel rispetto delle norme in materia di protezione dei dati. La responsabilità d’impresa anche in medicina generale è del Titolare medico del trattamento, non del DPO.
 
Per tutti questi motivi il DPO oltre ad una adeguata conoscenza della normativa dal punto di vista legale, deve possedere:
1. assoluta familiarità con le tecnologie informatiche e le misure di sicurezza dei dati, dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi;
conoscenza approfondita del settore in cui opera il titolare
capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare.
 
Se il mmg decide di non nominare il DPO e sceglie di utilizzare un software per l’adeguamento al Gdpr, è bene ricordare che nella maggior parte dei contrattidelle più svariate soluzioni software proposte ai mmg (dalle più costose alle meno costose, compresa la soluzione software gratuita proposta sul sito del garante) è precisato a chiare lettere che:
- la soluzione software è uno strumento di auto-valutazione e non sostituisce una consulenza legale;
 
- la conformità, i suggerimenti e la non conformità si basano sulle dichiarazioni del medico e su queste informazioni la soluzione software non può svolgere e non svolge alcuna verifica e/o controllo;
 
- nel caso in cui il medico avesse usufruito del servizio di ‘compilazione assistita’ e/o ‘compilazione on site’, questo non costituisce e non sostituisce una consulenza legale ma rappresenta esclusivamente un supporto rivolto al medico per l’inserimento dei dati e   la soluzione software anche in questo caso non può svolgere e non svolge alcuna verifica e/o controllo; la soluzione software ed il servizio di supporto alla ‘compilazione assistita’ e/o alla ‘compilazione on site’ non possono essere considerati quali sostituti del parere di un esperto, in materia di data protection.
 
Dott. Massimo Calisi
Medico di medicina generale  a Pescara, TDMe tribunale dei diritti e dei doveri del medico

04 luglio 2019
© Riproduzione riservata